Предлагаемые услуги
ООО «КРИПТО-ПРО» оказывает услуги по обеспечению в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн).
В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных (далее – СЗПДн), в том числе включающие:
- Проведение обследования ИСПДн и определение необходимого уровня защищенности;
- Разработка частной модели актуальных угроз нарушения безопасности ПДн;
- Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности ПДн;
- Разработка технического задания и проектирование СЗПДн;
- Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
- Поставка и внедрение сертифицированных технических средств защиты информации;
- Инструктаж и обучение персонала в авторизованных учебных центрах;
- Оценка соответствия выполнения требований безопасности ПДн в форме аттестации ИСПДн;
- Техническое сопровождение и сервисное обслуживание СЗПДн.
При выборе и реализации организационно-технических мер обеспечения безопасности ПДн специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.
Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки [1] и широкой номенклатурой партнерских решений [2], в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.
Основные положения законодательства в области защиты персональных данных
На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению безопасности персональных данных (ПДн).Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с ПДн регулируются Федеральным Законодательством РФ, в т.ч. Трудовым кодексом РФ (глава 14).
Необходимость обеспечения безопасности ПДн устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора (любое физическое или юридическое лицо, осуществляющее обработку ПДн), получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных (ст.7) и принимать необходимые организационные и технические, меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст.19).
В соответствии с 152-ФЗ обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных;
- применением организационных и технических мер, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;
- контролем за принимаемыми мерами по обеспечению безопасности.
Требования к обеспечению безопасности, типы угроз безопасности и уровни защищенности ПДн установлены Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
В соответствии с Постановлением, безопасность ПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности ПДн.
СЗПДн включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн.
Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может являться нарушение их безопасности (уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия).
Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:
- Базовая модель угроз;
- Методика определения актуальных угроз безопасности ПДн;
Определение типа угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения их безопасности.
Уровень защищенности ПДн - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн.
Уровень защищенности для конкретной информационной системы устанавливается в зависимости от определенного для этой системы типа актуальных угроз, обрабатываемых в ней категорий и количества субъектов ПДн.
В зависимости от установленного уровня защищенности необходимо выполнение следующих требований:
- организация режима обеспечения безопасности помещений;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей;
- использование сертифицированных средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.
- назначение должностного лица, ответственного за обеспечение безопасности ПДн.
- обеспечение возможности доступа к содержанию электронного журнала сообщений исключительно для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн;
- создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Блокирование (нейтрализация) актуальных угроз безопасности ПДн обеспечивается посредством выбора и реализации в СЗПДн мер по обеспечению безопасности ПДн в соответствии с приказами ФСТЭК и ФСБ России.
В зависимости от актуальных угроз безопасности ПДн Приказом ФСТЭК России от 18.02.2013 № 21 определен следующий состав и содержание организационных и технических мер по обеспечению безопасности ПДн:
- обеспечение доверенной загрузки;
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации;
- регистрация событий безопасности;
- обеспечение целостности информационной системы и информации;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств и систем связи и передачи данных.
Выбор мер по обеспечению безопасности ПДн включает:
- выбор базового набора мер;
- адаптацию выбранного базового набора мер;
- дополнение адаптированного базового набора мер;
- обоснование применения компенсирующие мер взамен выбранных мер.
Меры по обеспечению безопасности персональных данных в государственных информационных системах (ГИС) принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС, устанавливаемыми ФСТЭК России.
Использование СКЗИ для обеспечения безопасности ПДн осуществляется в соответствии с Методическими рекомендациями и требованиями, утвержденными Приказами ФСБ России от 21.02.2008г.
Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.
Цель создания системы защиты персональных данных и решаемые задачи
Целью создания СЗПДн является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности ПДн в соответствии с ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.
Для создания СЗПДн предлагается решение следующих задач:
- Проведение обследования ИСПДн и определение требуемого уровня защищенности ПДн;
- Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
- Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
- Разработка организационно-распорядительной документации, регламентирующей реализацию и обеспечение режима защиты ПДн в соответствии с принятыми организационными мерами.
- Разработка технического задания на создание СЗПДн;
- Проектирование СЗПДн в составе следующих решений в зависимости от выбранных технических мер:
- управления доступом к информационным ресурсам;
- сетевой безопасности;
- антивирусной защиты;
- криптографической защиты информации;
- анализа уязвимости;
- мониторинга событий безопасности;
- защиты виртуальной инфраструктуры;
- предотвращения утечки данных;
- защиты мобильных устройств;
- прочие решения, необходимые для нейтрализации актуальных угроз.
- Поставка, внедрение и сервисное обслуживание технических решений;
- Инструктаж и обучение персонала на авторизованных курсах в учебном центре;
- Проведение оценки выполнения требований безопасности ПДн в форме аттестационных испытаний объекта информатизации.
При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ИСПДн.
Результаты создания системы защиты персональных данных
В результате создания СЗПДн Заказчик получает следующие отчетные документы:
- Отчет о результатах обследования ИСПДн, содержащий:
- Перечень и характеристики ИСПДн и ПДн, подлежащих защите;
- Состав и характеристики используемых средств обработки, хранения и защиты ПДн;
- Результаты оценки степени участия персонала в обработке ПДн, характера взаимодействия персонала;
- Выявленные несоответствия требованиям нормативных документов РФ;
- Рекомендации по созданию/совершенствованию системы защиты ПДн;
- Проект распоряжения о классификации ИСПДн, устанавливающее необходимый уровень защищенности;
- Частная модель актуальных угроз безопасности ИСПДн;
- Требования безопасности ПДн, перечень и обоснование необходимых мер защиты;
- Комплект ОРД, в т.ч.:
- Политика обеспечения безопасности ПДн;
- Положение по организации и ведению работ по обеспечению безопасности ПДн при их обработке;
- Регламент обработки и защиты ПДн;
- Разделы должностных инструкций персонала ИСПДн в части обеспечения безопасности ПДн;
- Проекты приказов:
- О допуске лиц к обработке ПДн.
- О закреплении ПЭВМ, предназначенных для обработки ПДн.
- О закреплении помещений, предназначенных для обработки ПДн.
- О назначении лиц ответственных за обеспечение безопасности ПДн.
- О допуске лиц к работе с криптосредствами, обеспечивающими безопасность ПДн.
- Прочие…
- Техническое задание на создание СЗПДн;
- Комплект проектной и эксплуатационной документации на СЗПДн;
- Комплект документов, необходимых для получения лицензий на осуществление деятельности по технической защите информации;
- Пакет документации на аттестуемый объект информатизации ИСПДн;
- Программа-методика проведения аттестационных испытаний;
- Протоколы проведенных испытаний;
- Аттестат соответствия ИСПДн требованиям безопасности.